GDPR & Dataskydd

Vi är transparenta om hur vi hanterar era elevers personuppgifter. Här är exakt hur Skolsköld uppfyller GDPR — artikel för artikel.

Artikel 5(1)(f) — Integritet och konfidentialitet

“Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet.”

Skolsköld skyddar elevdata med:

  • Krypterad kommunikation (TLS/HTTPS) för all datatrafik
  • Kryptering av känsliga uppgifter i databasen
  • Rollbaserad åtkomstkontroll — personal ser bara de elever de är behöriga till
  • Automatisk sessionshantering med timeout vid inaktivitet
  • Sessionskapningsdetektering som avslutar sessionen vid misstänkt övertagande
Artikel 5(2) — Ansvarsskyldighet

“Den personuppgiftsansvarige ska kunna visa att behandlingen sker i enlighet med GDPR.”

Varje åtkomst till elevdata loggas automatiskt. Inte som en tilläggsfunktion — det är inbyggt i systemets arkitektur.

Vår loggning omfattar:

  • Visning av elevjournaler och elevlistor
  • Ändringar i elevdata
  • Filåtkomst — uppladdning, nedladdning, radering
  • Behörighetsändringar
  • Export av data
  • Alla inloggningar och utloggningar
Artikel 25 — Inbyggt dataskydd

“Dataskydd ska vara inbyggt i systemet från början, inte tillagt i efterhand.”

Skolskolds säkerhet sker genom middleware — transparenta lager som automatiskt skyddar och loggar utan att enskilda utvecklare behöver tänka på det. Det innebär att:

  • Loggning inte kan glömmas bort
  • Åtkomstkontroll inte kan kringgås
  • Säkerhetsregler tillämpas konsekvent i hela systemet
Artikel 30 — Register över behandling

“Varje personuppgiftsansvarig ska föra ett register över behandlingar.”

Skolsköld spårar över 60 olika händelsetyper — från inloggning till filåtkomst till administrativa ändringar. Registret är sökbart, filtrerbart och tillgängligt för skolans dataskyddsansvarig.

Artikel 32 — Säkerhet vid behandling

“Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.”

Vi hanterar data om barn, vilket kräver ett förhöjt skydd. Skolsköld inkluderar:

Intrångsdetektering

Automatisk riskbedömning av varje inloggning

Omöjliga resor

Flaggar om samma konto används från två platser inom kort tid

Automatisk kontospärr

Efter upprepade misslyckade inloggningsförsök

VPN- och Tor-detektering

Ovanliga åtkomstmetoder flaggas

Massåtkomstdetektering

Varning vid ovanligt stora mängder dataåtkomst

Geografisk åtkomstkontroll

Möjlighet att begränsa åtkomst per land

Artikel 33 — Incidentrapportering inom 72 timmar

“Vid en personuppgiftsincident ska tillsynsmyndigheten underrättas inom 72 timmar.”

72 timmar räknas från upptäckt. Utan detektering kan en incident pågå i veckor eller månader utan att ni vet om det.

Skolsköld säkerställer att ni kan uppfylla tidsfristen:

  • Säkerhetsincidenter upptäcks automatiskt i realtid
  • IT-ansvarig notifieras direkt via e-post
  • En dedikerad säkerhetsdashboard ger överblick över alla aktiva varningar
  • Loggdata kan exporteras som underlag för anmälan till IMY
Artikel 34 — Information till de registrerade

“Om incidenten sannolikt medför hög risk ska de registrerade informeras.”

Vid en incident kan Skolsköld visa exakt vilka elevers data som berörts, vilken typ av åtkomst som skett, och varifrån. Det gör det möjligt att informera rätt vårdnadshavare med korrekt information — inte ett generellt massutskick.

Artikel 5(1)(e) — Lagringsminimering

“Personuppgifter ska inte förvaras längre än nödvändigt.”

Loggdata sparas i 2 år i enlighet med Skollagen, sedan gallras den automatiskt. Ingen manuell hantering krävs — systemet sköter gallringen.

Datalagring inom EU

All data lagras inom EU. Inga underleverantörer utanför EU/EES har åtkomst till elevdata.

Datacenter

Helsingfors, Finland

Backuper

Tyskland

Inga USA-tjänster

Inga transatlantiska överföringar

Er data, er kontroll

Kommunen är alltid personuppgiftsansvarig. Skolsköld är ert personuppgiftsbiträde. Det innebär:

Ni bestämmer vilka uppgifter som behandlas och varför

Ni har full insyn i all behandling via loggarna

Ni kan begära export eller radering av data när som helst

Vi behandlar aldrig data för egna ändamål

Att data lagras hos oss som hanterad tjänst ändrar inte ert ägandeskap. Det är en juridisk status, inte en hostingfråga.

Personuppgiftsbiträdesavtal

Vi tecknar personuppgiftsbiträdesavtal (PUB) med varje kommun i enlighet med GDPR Artikel 28. Avtalet specificerar:

  • Vilka personuppgifter som behandlas
  • Ändamålet med behandlingen
  • Tekniska och organisatoriska säkerhetsåtgärder
  • Rutiner vid personuppgiftsincident
  • Villkor för underbiträden

Har ni frågor om GDPR?

Vi svarar gärna på frågor om hur Skolsköld hanterar personuppgifter.

Kontakta oss